Вчера, копаясь в новых поступлениях вирусов (я в миске писал, что собираю - если кто-то может подкинуть еще - буду благодарен), обнаружил ошибку в сабже. Отправил репорт следующего содержания:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
From: Vol'gushyn Dmytro <delta-pilot@mail.ru>
To: Служба технической поддержки KAV <support@kaspersky.com>
Date: Friday, November 21, 2003, 9:42:18 PM
Subject: Ошибка в KAV 4.5.0.48
Files: 1.rpt, Acad.star.zip
--====----====----====----====----====----====----====----===
Здравствуйте!
Есть ситуация:
KAV 4.5.0.48
Обновление баз от 20 ноября 2003 г. (78119 известных вирусов)
при проверке одного файла выдает следующее:
C:\TEMP\new\Acad.star\star.vba Инфицирован Macro.Acad.Star
Exception 0xC0000005
C:\TEMP\new\Acad.star\star.vba Ошибка ядра
При этом файл не лечится и не удаляется...
--
wbr,
engineer - system administrator
SE "Delta-Pilot"
Vol'gushyn Dmytro mailto:delta-pilot@mail.ru
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
получен товет следующего содержания:
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
From: Kaspersky Lab Support <support@kaspersky.com>
To: Vol'gushyn Dmytro <delta-pilot@mail.ru>
Date: Saturday, November 22, 2003, 10:16:19 AM
Subject: Ошибка в KAV 4.5.0.48
Files: <none>
--====----====----====----====----====----====----====----===
Здравствуйте,
Вирусная лаборатория подтвердила наличие ошибки, о которой Вы сообщили. Идет работа над её решением
Спасибо за Ваше сотрудничество
С Уважением,
Петухов Артем
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Самое интересное то, что движок валится и ничего с вирусом не делает (не лечит и не удаляет). Отсюда делаем вывод об уязвимости Ваших систем перед вирусом Macro.Acad.Star, если они защищены KAV. Ждем обновлений программ.
P.S. прошу не считать меня корейским шпионом ;-)
P.P.S. Название темы я подправил, т.к. после общения с г-ном Гостевым выяснилось, что проблема существует в несколько ином ракурсе.
Еще одна. Кстати, предыдущая может быть связана именно с этой30.11.03 15:21 Автор: Fighter <Vladimir> Статус: Elderman
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
From: newvirus@kaspersky.com <newvirus@kaspersky.com>
To: delta-pilot@mail.ru <delta-pilot@mail.ru>
Date: Saturday, November 22, 2003, 12:44:18 PM
Subject: Ошибка в KAV 4.5.0.48 [KLAB-73471]
Files: <none>
--====----====----====----====----====----====----====----===
Ошибка возникает из-за того, что лечение сделано для зараженных dwg-файлов, а в данном случае - это просто исходник. Поэтому при попытке лечения мы пытаемся именно вылечить файл, а надо просто удалять.
Будет исправлено в очередном кумулятивном обновлении.
--
С уважением, Гостев Александр
Вирусный аналитик, Kaspersky Lab.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Так что мораль такова: обновляться, обновляться и еще раз обновляться!
Есть похожий вопрос по KAV - кто знает ответ?25.11.03 22:56 Автор: Test Статус: Незарегистрированный пользователь
Я не могу вспомнить где я видел сообщение, что после установки KAV Center
резко замедлилась загрузка приложений, причем удаление KAV не восстановило
ситуацию, и пришлось чистить регистр.
А сейчас у друга возникла проблема на ХР - при установке KAV сбойнул,
парень попытался удалить недоустановленный, и теперь вообще не запускается
часть приложений, в частности Хелп, и вдобавок пропали ссылки на функцию
"откатить изменения к предыдущей контрольной точке".
Кто-нибудь сталкивался с таким странным поведением KAV ?
И как теперь лечить ХР? У меня самого 2000, с ХР почти не работал -
подскажите, можно ли вызвать "откат" из командной строки и как именно,
то есть как называется сама системная прога для отката и где она лежит?
obnovlenie ne potrebuetsa :) obnovitsa tolko para *.avc failov :)
Может быть, суть не в этом. А в том, что по крайней мере от этого вируса клиенты KL пока не защищены :-(22.11.03 14:31 Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Сообщите пожалуйста название вируса от которого "не защищены" клиенты ЛК в данном случае.
Какую опасность может представлять неработающий сорец, лично я, как вирусный аналитик, не знаю. Может быть Вам видней.
Как я уже Вам писал - лечение сделано для зараженных файлов, а не для вручную выдранного сорца.
а что ж Вы, батенька, не зарегистрировались? ..не уважаете? :)23.11.03 20:12 Автор: hex.sex <Computer-Hitler> Статус: Elderman
Это просто первый шаг. Я не спец в этом вопросе, но, может быть, есть возможность, заслав компилятор и сырец (которые пропустит антивирь), сделать из всего этого что-нибудь толковое?
В любом случае, я изложил факты. Какие делать из них выводы - решать пользователям.
Кстати, я там еще нарыл много чего... Например, сканер не лечит и не удаляет eml-файлы, содержащие вирусы в аттаче. Это уже, согласитесь, гораздо серьезнее! Данные об это направлены в саппорт.
Ну и еще несколько мелких проблем такого же плана возникли с образцами Macro.Visio.Unstable и I-Worm.Cod. Эти данные тоже ушли в саппорт. Если хотите, проконтролируйте лично.
А вообще этот топик я созал не для того, чтобы дискредитировать KL, а для того, чтобы пользователи были готовы к возможным неприятностям! Иначе какой смысл бы мне был отсылать рапорты в службу поддержки?
Проблему найти всегда можно23.11.03 12:49 Автор: Killer{R} <Dmitry> Статус: Elderman
Представьте себе ситуацию - злоумышленник шлет человеку почту содержащую этот файл и какой нибудь троян или вирь. Антивирь при проверке почты благополучно откидывает копыта а целый и невредимый троян запускается.
Проблему найти всегда можно23.11.03 17:02 Автор: Александр Гостев (Лаборатория Касперского) Статус: Незарегистрированный пользователь
> Представьте себе ситуацию - злоумышленник шлет человеку > почту содержащую этот файл и какой нибудь троян или вирь. > Антивирь при проверке почты благополучно откидывает копыта > а целый и невредимый троян запускается.
Вы видимо не очень понимаете о чем идет речь в данном случае
Антивирь копыта не откидывает. Работает как и работал.
А что, что я должна была подумать? (с) :-)23.11.03 18:40 Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
Проблема и правда надумана. А вернее для Касперов это не проблема. Я, к примеру, знаю около 30 вирей, с которыми Каспер ничего не может поделать, ни удалить, ни вылечить. А уж о том, что вирусы из запакованных файлов AVK не удаляет, даже как-то и говорить уже неприлично.
Неправда25.11.03 20:14 Автор: Neznaika <Alex> Статус: Member
> А уж о том, что вирусы из запакованных файлов AVK не удаляет, > даже как-то и говорить уже неприлично. >
Да и насчет запакованных файлов - не все так просто.
Потому, что распаковать можно легко, а вот чтобы обратно запаковать - по правилам, нужно покупать лицензию у разработчиков данного формата (*.ZIP, *.RAR, etc.) Поскольку KAV поддерживает более 30 различных форматов - они просто не стали связываться. Imho.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
